Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
Active/Standby フェールオーバーの設定
Active/Standby フェールオーバーの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

Active/Standby フェールオーバーの設定

Active/Standby フェールオーバーに関する情報

Active/Standby フェールオーバーの概要

Primary/Secondary ステータスと Active/Standby ステータス

デバイスの初期化とコンフィギュレーションの同期

コマンドの複製

フェールオーバーのトリガー

フェールオーバーのアクション

オプションの Active/Standby フェールオーバー設定

Active/Standby フェールオーバーのライセンス要件

Active/Standby フェールオーバーの前提条件

ガイドラインと制限事項

Active/Standby フェールオーバーの設定

Active/Standby フェールオーバーの設定のタスク フロー

プライマリ装置の設定

セカンダリ装置の設定

オプションの Active/Standby フェールオーバー設定値の設定

ステートフル フェールオーバーでの HTTP 複製のイネーブル化

インターフェイス モニタリングのディセーブル化とイネーブル化

フェールオーバー基準の設定

装置およびインターフェイスのヘルス ポーリング時間の設定

仮想 MAC アドレスの設定

フェールオーバーの制御

フェールオーバーの強制実行

フェールオーバーのディセーブル化

障害が発生した装置の復元

フェールオーバー機能のテスト

Active/Standby フェールオーバーのモニタリング

Active/Standby フェールオーバーの機能履歴

Active/Standby フェールオーバーに関する情報

この項では、Active/Standby フェールオーバーについて次の項目で説明します。

「Active/Standby フェールオーバーの概要」

「Primary/Secondary ステータスと Active/Standby ステータス」

「デバイスの初期化とコンフィギュレーションの同期」

「コマンドの複製」

「フェールオーバーのトリガー」

「フェールオーバーのアクション」

Active/Standby フェールオーバーの概要

Active/Standby フェールオーバーでは、スタンバイ適応型セキュリティ アプライアンスを使用して、障害の発生した装置の機能を引き継ぐことができます。アクティブ装置が故障すると、スタンバイ状態に変わり、そしてスタンバイ装置がアクティブ状態に変わります。アクティブになる装置が、障害の発生した装置の IP アドレス(または、透過ファイアウォールの場合は管理 IP アドレス)および MAC アドレスを引き継いで、トラフィックの転送を開始します。現在スタンバイになっている装置が、スタンバイの IP アドレスと MAC アドレスを引き継ぎます。ネットワーク デバイスは、MAC と IP アドレスの組み合せについて変更を認識しないため、ネットワーク上のどのような場所でも ARP エントリが変更されたり、タイムアウトが生じたりすることはありません。


) マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは装置全体(すべてのコンテキストを含む)をフェールオーバーできますが、個々のコンテキストを別々にフェールオーバーすることはできません。


Primary/Secondary ステータスと Active/Standby ステータス

フェールオーバー ペアの 2 台の装置の主な相違点は、どちらの装置がアクティブでどちらの装置がスタンバイであるか、つまりどちらの IP アドレスを使用するかおよびどちらの装置がアクティブにトラフィックを渡すかということに関連します。

しかし、プライマリである装置(コンフィギュレーションで指定)とセカンダリである装置との間で、いくつかの相違点があります。

両方の装置が同時にスタート アップした場合(さらに動作ヘルスが等しい場合)、プライマリ装置が常にアクティブ装置になります。

プライマリ装置の MAC アドレスは常に、アクティブ IP アドレスと結び付けられています。この規則の例外は、セカンダリ装置がアクティブであり、フェールオーバー リンク経由でプライマリ装置の MAC アドレスを取得できない場合に発生します。この場合、セカンダリ装置の MAC アドレスが使用されます。

デバイスの初期化とコンフィギュレーションの同期

コンフィギュレーションの同期は、フェールオーバー ペアの一方または両方のデバイスがブートされると行われます。コンフィギュレーションは常に、アクティブ装置からスタンバイ装置に同期化されます。スタンバイ装置は、その初期スタートアップを完了すると、自分の実行コンフィギュレーションを削除し(アクティブ装置との通信に必要なフェールオーバー コマンドを除く)、アクティブ装置は自分のコンフィギュレーション全体をスタンバイ装置に送信します。

アクティブ装置は、次の条件で判別されます。

装置がブートされ、ピアがすでにアクティブとして動作中であることを検出すると、その装置はスタンバイ装置になります。

装置がブートされてピアを検出できないと、その装置はアクティブ装置になります。

両方の装置が同時にブートされた場合は、プライマリ装置がアクティブ装置になり、セカンダリ装置がスタンバイ装置になります。


) セカンダリ装置がブートされてプライマリ装置を検出できないと、その装置はアクティブ装置になります。アクティブ IP アドレスには、セカンダリ装置自体の MAC アドレスを使用します。しかし、プライマリ装置が使用可能になると、セカンダリ装置は MAC アドレスをプライマリ装置の MAC アドレスに変更します。これによって、ネットワーク トラフィックが中断されることがあります。これを回避するには、フェールオーバー ペアを仮想 MAC アドレスで設定します。詳細については、「仮想 MAC アドレスの設定」を参照してください。


複製が開始されると、アクティブ装置の適応型セキュリティ アプライアンス コンソールに「Beginning configuration replication: Sending to mate」というメッセージが表示され、複製が完了すると、適応型セキュリティ アプライアンスに「End Configuration Replication to mate」というメッセージが表示されます。複製中、アクティブ装置に入力されたコマンドがスタンバイ装置に適切に複製されないことがあり、またスタンバイ装置に入力されたコマンドが、アクティブ装置から複製されているコンフィギュレーションによって上書きされることがあります。コンフィギュレーションの複製処理中には、フェールオーバー ペアのどちらの装置にもコマンドを入力しないでください。コンフィギュレーションのサイズによって、複製は数秒で済むことも数分かかることもあります。


crypto ca server コマンドおよび関連するサブコマンドは、フェールオーバー ピアに同期化されません。


スタンバイ装置の場合、コンフィギュレーションは実行メモリにだけ存在します。同期化後にコンフィギュレーションをフラッシュ メモリに保存するには、次のようにします。

シングルコンテキスト モードの場合は、アクティブ装置で write memory コマンドを入力します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。

マルチコンテキスト モードの場合は、システム実行スペースからアクティブ装置で write memory all コマンドを入力します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。このコマンドで all キーワードを使用すると、システムとすべてのコンテキスト コンフィギュレーションが保存されます。


) 外部のサーバに保存されたスタートアップ コンフィギュレーションは、ネットワーク経由で両方の装置からアクセスできます。そのため、各装置で個別に保存する必要はありません。または、ディスク上のコンテキストを、アクティブ装置から外部サーバにコピーし、それからスタンバイ装置のディスクにコピーできます。スタンバイ装置で、装置がリロードされると、そのコンテキストが使用可能になります。


コマンドの複製

コマンドの複製は常に、アクティブ装置からスタンバイ装置の方向に行われます。アクティブ装置にコマンドを入力すると、そのコマンドがフェールオーバー リンクを通してスタンバイ装置に送信されます。コマンドを複製する場合、アクティブ コンフィギュレーションをフラッシュ メモリに保存する必要はありません。

表 59-1 は、スタンバイ装置に複製されるコマンドと複製されないコマンドです。

 

表 59-1 コマンドの複製

スタンバイ装置に複製されるコマンド
スタンバイ装置に複製されないコマンド

mode firewall 、および failover lan unit コマンドを除く、すべてのコンフィギュレーション コマンド

copy running-config startup-config を除く、すべての形式の copy コマンド

copy running-config startup-config

write memory を除く、すべての形式の write コマンド

delete

crypto ca server および関連するサブコマンド

mkdir

debug

rename

failover lan unit

rmdir

firewall

write memory

mode

--

show

--

terminal pager および pager


) スタンバイ装置上で行った変更は、アクティブ装置に複製されません。スタンバイ装置にコマンドを入力すると、適応型セキュリティ アプライアンスに「**** WARNING **** Configuration Replication is NOT performed from Standby unit to Active unit.Configurations are no longer synchronized.」というメッセージが表示されます。このメッセージは、コンフィギュレーションに影響しない数多くのコマンドを入力したときにも表示されます。


アクティブ装置に write standby コマンドを入力すると、スタンバイ装置で実行コンフィギュレーションが削除され(アクティブ装置との通信に使用するフェールオーバー コマンドを除く)、アクティブ装置のコンフィギュレーション全体がスタンバイ装置に送信されます。

マルチコンテキスト モードの場合、システム実行スペースに write standby コマンドを入力すると、すべてのコンテキストが複製されます。あるコンテキスト内で write standby コマンドを入力すると、コマンドはそのコンテキスト コンフィギュレーションだけを複製します。

複製されたコマンドは、実行コンフィギュレーションに保存されます。複製されたコマンドをスタンバイ装置、スタンバイ装置のフラッシュ メモリに保存するには、次の手順を実行します。

シングルコンテキスト モードの場合は、アクティブ装置で copy running-config startup-config コマンドを使用します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。

マルチコンテキスト モードの場合は、システム実行スペースおよびディスク上の各コンテキスト内からアクティブ装置に copy running-config startup-config コマンドを入力します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。外部のサーバにスタートアップ コンフィギュレーションがあるコンテキストは、ネットワーク経由で両方の装置からアクセスできます。そのため、各装置で個別に保存する必要はありません。または、ディスク上のコンテキストを、アクティブ装置から外部サーバにコピーし、それからスタンバイ装置のディスクにコピーできます。

フェールオーバーのトリガー

次のいずれかのイベントが発生した場合、装置が故障する可能性があります。

装置でハードウェア障害または電源断が発生した。

装置でソフトウェア障害が発生した。

多くのモニタ対象インターフェイスが故障した。

フェールオーバーを強制実行した( 「フェールオーバーの強制実行」 を参照)。

フェールオーバーのアクション

Active/Standby フェールオーバーでは、フェールオーバーは装置ごとに行われます。マルチコンテキスト モードで動作中のシステムでも、個々のコンテキストまたはコンテキストのグループをフェールオーバーすることはできません。

表 59-2 に、各障害イベントに対するフェールオーバー アクションを示します。この表には、各フェールオーバー イベントに対して、フェールオーバー ポリシー(フェールオーバーまたはフェールオーバーなし)、アクティブ装置が行うアクション、スタンバイ装置が行うアクション、およびフェールオーバー条件とアクションに関する特別な注意事項を示します。

 

表 59-2 フェールオーバー動作

障害の状況
ポリシー
アクティブ アクション
スタンバイ アクション

アクティブ装置が故障(電源またはハードウェア)

フェールオーバー

該当なし

アクティブになる

アクティブに故障とマークする

モニタ対象インターフェイスまたはフェールオーバー リンクで hello メッセージは受信されません。

以前にアクティブであった装置の復旧

フェールオーバーなし

スタンバイになる

動作なし

なし

スタンバイ装置が故障(電源またはハードウェア)

フェールオーバーなし

スタンバイに故障とマークする

該当なし

スタンバイ装置が故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ装置はフェールオーバーを行いません。

動作中にフェールオーバー リンクに障害が発生した

フェールオーバーなし

フェールオーバー インターフェイスに故障とマークする

フェールオーバー インターフェイスに故障とマークする

フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

スタートアップ時にフェールオーバー リンクに障害が発生した

フェールオーバーなし

フェールオーバー インターフェイスに故障とマークする

アクティブになる

スタートアップ時にフェールオーバー リンクがダウンしていると、両方の装置がアクティブになります。

ステートフル フェールオーバー リンクに障害が発生した

フェールオーバーなし

動作なし

動作なし

ステート情報が古くなり、フェールオーバーが発生するとセッションが終了します。

アクティブ装置におけるしきい値を超えたインターフェイス障害

フェールオーバー

アクティブに故障とマークする

アクティブになる

なし

スタンバイ装置におけるしきい値を超えたインターフェイス障害

フェールオーバーなし

動作なし

スタンバイに故障とマークする

スタンバイ装置が故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ装置はフェールオーバーを行いません。

オプションの Active/Standby フェールオーバー設定

次の Active/Standby フェールオーバー オプションは、最初にフェールオーバーを設定するときに、またはフェールオーバーを設定した後で設定できます。

ステートフル フェールオーバーでの HTTP 複製:ステート情報の複製に接続を含めることができます。

インターフェイス モニタリング:装置の最大 250 のインターフェイスをモニタし、フェールオーバーに影響を与えるインターフェイスを制御できます。

インターフェイス ヘルス モニタリング:セキュリティ アプライアンスがより早くインターフェイスの障害を検出して対応できるようにします。

フェールオーバー基準の設定:インターフェイス数またはモニタされているインターフェイスの割合を指定して、この数または割合を超えたインターフェイスに障害が発生した場合にフェールオーバーが発生するようにできます。

仮想 MAC アドレスの設定:セカンダリ装置がプライマリ装置よりも前にオンラインになっても、セカンダリ装置がアクティブ装置である場合、正しい MAC アドレスを使用するようにします。

Active/Standby フェールオーバーのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

ASA 5505

Security Plus ライセンス(ステートフル フェールオーバーはサポートされません)

他のすべてのモデル

基本ライセンス

Active/Standby フェールオーバーの前提条件

Active/Standby フェールオーバーには、次の前提条件があります。

両方の装置が同じセキュリティ アプライアンスであり、専用のフェールオーバー リンク(オプションで、ステートフル フェールオーバー リンク)で相互に接続されている必要があります。

両方の装置が、同じソフトウェア コンフィギュレーションと適切なライセンスを備えている必要があります。

両方の装置のモード(シングルまたはマルチ、透過またはルーテッド)が同じである必要があります。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

マルチコンテキスト モードでは、特に注記がない限り、手順はすべてシステム実行スペースで実行します。

ファイアウォール モードのガイドライン

トランスペアレント ファイアウォール モードおよびルーテッド ファイアウォール モードでサポートされます。

IPv6 のガイドライン

IPv6 フェールオーバーがサポートされています。

モデルのガイドライン

ステートフル フェールオーバーは、Cisco ASA 5505 適応型セキュリティ アプライアンスでサポートされません。

その他のガイドラインと制限事項

Active/Standby フェールオーバーには、次のガイドラインと制限事項が適用されます。

フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスを設定する必要があります。

スタンバイ IP アドレスは、現在スタンバイ装置であるセキュリティ アプライアンスで使用されます。スタンバイ IP アドレスは、アクティブ装置で対応しているインターフェイス上のアクティブ IP アドレスと同じサブネット内にある必要があります。

フェールオーバー ペアのアクティブ装置でコンソール端末のページ設定を変更した場合、アクティブなコンソール端末のページ設定は変更されますが、スタンバイ装置の設定は変更されません。アクティブ装置で発行されたデフォルト コンフィギュレーションは、スタンバイ装置の動作にも影響を与えます。

インターフェイス モニタリングをイネーブルにすると、1 台の装置で最大 250 のインターフェイスをモニタできます。

デフォルトでは、セキュリティ アプライアンスは、ステートフル フェールオーバーがイネーブルのときに HTTP セッション情報を複製しません。HTTP セッションは一般に存続期間が短く、また通常 HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP セッションを複製しなくてもデータや接続に重大な損失が発生することはなく、システムのパフォーマンスが向上します。failover replication http コマンドを使用するとステートフル フェールオーバー環境で HTTP セッションのステートフルな複製がイネーブルになりますが、システムのパフォーマンスが低下する可能性があります。

Active/Standby フェールオーバーの設定

この項では、Active/Standby フェールオーバーを設定する方法について説明します。

この項は、次の内容で構成されています。

「Active/Standby フェールオーバーの設定のタスク フロー」

「プライマリ装置の設定」

「セカンダリ装置の設定」

「オプションの Active/Standby フェールオーバー設定値の設定」

Active/Standby フェールオーバーの設定のタスク フロー

Active/Standby フェールオーバーを設定するには、次の手順を実行します。


ステップ 1 「プライマリ装置の設定」に従って、プライマリ装置を設定します。

ステップ 2 「セカンダリ装置の設定」に従って、セカンダリ装置を設定します。

ステップ 3 (オプション)「オプションの Active/Standby フェールオーバー設定値の設定」に従って、オプションの Active/Standby フェールオーバー設定を行います。


 

プライマリ装置の設定

この項の手順に従って、LAN ベースの Active/Standby フェールオーバー コンフィギュレーションでプライマリ装置を設定します。この手順では、プライマリ装置でフェールオーバーをイネーブルにするために必要な最小のコンフィギュレーションが用意されています。

制限事項

専用のステートフル フェールオーバー インターフェイスを使用する場合は、ステートフル フェールオーバー リンクにインターフェイス コンフィギュレーション モードの IP アドレスを設定しないでください。専用のステートフル フェールオーバー インターフェイスを設定するには、後述の手順の failover interface ip コマンドを使用します。

手順の詳細

 

コマンド
目的

ステップ 1

ip address active_addr netmask standby standby_addr

 

ipv6 address { autoconfig | ipv6-prefix / prefix-length [ eui-64 ] [ standby ipv6-prefix ] | ipv6-address link-local [ standby ipv6-address ]}

 

hostname(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2

 

hostname(config-if)# ipv6 address 3ffe:c00:0:1::576/64 standby 3ffe:c00:0:1::575

各データ インターフェイス(ルーテッド モード)、管理 IP アドレス(トランスペアレント モード)、または管理専用インターフェイスのアクティブおよびスタンバイ IP アドレスを設定します。

ルーテッド ファイアウォール モードおよび管理専用インターフェイスでは、このコマンドを各インターフェイスのインターフェイス コンフィギュレーション モードで入力します。

透過ファイアウォール モードでは、このコマンドをグローバル コンフィギュレーション モードで入力します。

マルチコンテキスト モードでは、各コンテキストからインターフェイス アドレスを設定します。 change to context コマンドを使用して、コンテキストを切り替えます。コマンド プロンプトが hostname/ context (config-if)# に変わります。ここで、 context は、現在のコンテキスト名です。透過ファイアウォール マルチコンテキスト モードで各コンテキストの管理 IP アドレスを入力する必要があります。

各データ インターフェイスには、1 つの IPv4 アドレスと 1 つまたは複数の IPv6 アドレスを設定できます。 eui-64 オプションを使用する IPv6 アドレスの場合、スタンバイ アドレスは自動的に作成されるため、指定する必要はありません。

ステップ 2

failover lan unit primary

装置をプライマリ装置に指定します。

ステップ 3

failover lan interface if_name phy_if

 

hostname(config)# failover lan interface folink GigabitEthernet0/3

フェールオーバー インターフェイスとして使用するインターフェイスを指定します。

if_name 引数は、 phy_if 引数で指定されたインターフェイスに名前を割り当てます。

phy_if 引数は、物理ポート名(Ethernet1 など)にすることも、すでに作成されているサブインターフェイス(Ethernet0/2.3 など)にすることもできます。ASA 5505 適応型セキュリティ アプライアンスでは、 phy_if は VLAN を指定します。このインターフェイスは、他の目的に使用しないでください(オプションのステートフル フェールオーバー リンクは除く)。

ステップ 4

failover interface ip if_name [ ip_address mask standby ip_address | ipv6_address / prefix standby ipv6_address ]

 

hostname(config)# failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2

 

hostname(config)# failover interface ip folink 2001:a0a:b00::a0a:b70/64 standby 2001:a0a:b00::a0a:b71

アクティブおよびスタンバイ IP アドレスをフェールオーバー リンクに割り当てます。IPv4 アドレスまたは IPv6 アドレスのいずれかをインターフェイスに割り当てることができます。両方のアドレス タイプをフェールオーバー リンクに割り当てることはできません。

スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットである必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。フェールオーバー リンクのアクティブ IP アドレスは、常にプライマリ装置にあります。スタンバイ IP アドレスは、セカンダリ装置にあります。

ステップ 5

interface phy_if

 

hostname(config)# interface vlan100

hostname(config-if)# no shutdown

インターフェイスをイネーブルにします。

ステップ 6

failover link if_name phy_if

 

hostname(config)# failover link statelink GigabitEthernet0/2

(オプション)ステートフル フェールオーバー リンクとして使用するインターフェイスを指定します。


) ステートフル フェールオーバー リンクがフェールオーバー リンクまたはデータ インターフェイスを使用する場合は、if_name 引数を指定することだけが必要です。


if_name 引数は、 phy_if 引数で指定されたインターフェイスに論理名を割り当てます。 phy_if 引数は、物理ポート名(Ethernet1 など)にすることも、すでに作成されているサブインターフェイス(Ethernet0/2.3 など)にすることもできます。このインターフェイスは、他の目的に使用しないでください(オプションのフェールオーバー リンクは除く)。

ステップ 7

failover interface ip if_name [ ip_address mask standby ip_address | ipv6_address / prefix standby ipv6_address ]

 

hostname(config)# failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2

 

hostname(config)# failover interface ip statelink 2001:a1a:b00::a0a:a70/64 standby 2001:a1a:b00::a0a:a71

(オプション)アクティブおよびスタンバイ IP アドレスをステートフル フェールオーバー リンクに割り当てます。IPv4 アドレスまたは IPv6 アドレスのいずれかをインターフェイスに割り当てることができます。両方のアドレス タイプをステートフル フェールオーバー リンクに割り当てることはできません。


) ステートフル フェールオーバー リンクがフェールオーバー リンクまたはデータ インターフェイスを使用する場合は、この手順をスキップします。インターフェイスのアクティブおよびスタンバイ IP アドレスは、すでに定義しています。


スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットである必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

ステートフル フェールオーバー リンク IP アドレスおよび MAC アドレスは、データ インターフェイスを使用しない限り、フェールオーバー時に変更されません。アクティブ IP アドレスは、常にプライマリ装置にあります。スタンバイ IP アドレスは、セカンダリ装置にあります。

ステップ 8

interface phy_if

no shutdown
 

hostname(config)# interface vlan100

hostname(config-if)# no shutdown

(オプション)インターフェイスをイネーブルにします。

ステートフル フェールオーバー リンクがフェールオーバー リンクまたはデータ インターフェイスを使用する場合は、この手順をスキップします。インターフェイスは、すでにイネーブルです。

ステップ 9

failover

 

hostname(config)# failover

フェールオーバーをイネーブルにします。

ステップ 10

copy running-config startup-config

 

hostname(config)# copy running-config startup-config

システム コンフィギュレーションをフラッシュ メモリに保存します。

セカンダリ装置の設定

セカンダリ装置に必要なコンフィギュレーションは、フェールオーバー インターフェイス用のコンフィギュレーションだけです。セカンダリ装置には、プライマリ装置と初期に通信するために、これらのコマンドが必要です。プライマリ装置がセカンダリ装置にコンフィギュレーションを送信した後、2 つのコンフィギュレーション間で唯一、不変の相違点は failover lan unit コマンドです。このコマンドで各装置がプライマリかセカンダリかを識別します。

前提条件

LAN ベースのフェールオーバーを設定するときは、セカンダリ デバイスがプライマリ デバイスから実行コンフィギュレーションを取得する前に、セカンダリ デバイスをブートストラップしてフェールオーバー リンクを認識させる必要があります。

手順の詳細

 

コマンド
目的

ステップ 1

failover lan interface if_name phy_if

 

hostname(config)# failover lan interface folink vlan100

フェールオーバー インターフェイスとして使用するインターフェイスを指定します。プライマリ装置に使用したものと同じ設定を使用します。

if_name 引数は、 phy_if 引数で指定されたインターフェイスに名前を割り当てます。

ステップ 2

failover interface ip if_name [ ip_address mask standby ip_address | ipv6_address / prefix standby ipv6_address ]

 

hostname(config)# failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2

 

hostname(config)# failover interface ip folink 2001:a0a:b00::a0a:b70/64 standby 2001:a0a:b00::a0a:b71

 

アクティブおよびスタンバイ IP アドレスをフェールオーバー リンクに割り当てます。IPv4 アドレスまたは IPv6 アドレスのいずれかをインターフェイスに割り当てることができます。両方のアドレス タイプをフェールオーバー リンクに割り当てることはできません。

フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスを設定する必要があります。


) プライマリ装置にフェールオーバー インターフェイスを設定する場合(同じ IP アドレスを含む)、プライマリ装置でこのコマンドを入力するときは、正確に入力してください。


ステップ 3

interface phy_if

 

no shutdown

 

hostname(config)# interface vlan100

hostname(config-if)# no shutdown

インターフェイスをイネーブルにします。

ステップ 4

failover lan unit secondary

 

hostname(config)# failover lan unit secondary

(オプション)この装置をセカンダリ装置に指定します。


) 以前に設定されていない場合、装置はデフォルトでセカンダリに指定されているので、この手順はオプションです。


ステップ 5

failover

 

hostname(config)# failover

フェールオーバーをイネーブルにします。

フェールオーバーをイネーブルにすると、実行メモリのコンフィギュレーションがアクティブ装置からスタンバイ装置に送信されます。コンフィギュレーションが同期すると、メッセージ「Beginning configuration replication: Sending to mate」および「End Configuration Replication to mate」がアクティブ装置のコンソールに表示されます。

ステップ 6

copy running-config startup-config

 

hostname(config)# copy running-config startup-config

コンフィギュレーションをフラッシュ メモリに保存します。

実行コンフィギュレーションの複製が完了した後で、コマンドを入力します。

オプションの Active/Standby フェールオーバー設定値の設定

この項は、次の内容で構成されています。

「ステートフル フェールオーバーでの HTTP 複製のイネーブル化」

「インターフェイス モニタリングのディセーブル化とイネーブル化」

「フェールオーバー基準の設定」

「装置およびインターフェイスのヘルス ポーリング時間の設定」

「仮想 MAC アドレスの設定」

フェールオーバー ペアのプライマリ装置を最初に設定する(「プライマリ装置の設定」を参照)場合、または、初期コンフィギュレーションの後でフェールオーバー ペアのアクティブ装置を設定する場合は、オプションの Active/Standby フェールオーバーを設定できます。

ステートフル フェールオーバーでの HTTP 複製のイネーブル化

HTTP 接続がステート情報複製に含まれるようにするには、HTTP 複製をイネーブルにする必要があります。THTTP 接続は通常は存続期間が短く、HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP 接続は複製されるステート情報に自動的には含まれません。

次のコマンドをグローバル コンフィギュレーション モードで入力して、ステートフル フェールオーバーがイネーブル状態の場合に、HTTP ステート複製をイネーブルにします。

 

コマンド
目的

failover replication http

 

hostname (config)# failover replication http

HTTP ステート複製をイネーブルにします。

インターフェイス モニタリングのディセーブル化とイネーブル化

特定のインターフェイスのモニタリングをディセーブルにし、別のモニタリングをイネーブルにすることで、フェールオーバー ポリシーに影響を与えるインターフェイスを制御できます。この機能を使用すると、重要度の低いネットワークに接続されているインターフェイスがフェールオーバー ポリシーに影響を与えないようにできます。

1 台の装置で最大 250 のインターフェイスをモニタできます。デフォルトでは、物理インターフェイスのモニタリングはイネーブルに、サブインターフェイスのモニタリングはディセーブルになっています。

インターフェイスのポーリング周期期間ごとに、セキュリティ アプライアンス フェールオーバー ペアの間で、hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ~ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、あるインターフェイスで 5 回連続して hello が検出されないと(25 秒間)、そのインターフェイスでテストが開始します。

モニタ対象のフェールオーバー インターフェイスには、次のステータスが設定されます。

Unknown:初期ステータスです。このステータスは、ステータスを特定できないことを意味する場合もあります。

Normal:インターフェイスはトラフィックを受信しています。

Testing:ポーリング 5 回の間、インターフェイスで hello メッセージが検出されていません。

Link Down:インターフェイスまたは VLAN は管理のためにダウンしています。

No Link:インターフェイスの物理リンクがダウンしています。

Failed:インターフェイスではトラフィックを受信していませんが、ピア インターフェイスではトラフィックを検出しています。

シングルコンフィギュレーション モードの装置の場合は、次のコマンドを入力して特定のインターフェイスのヘルス モニタリングをイネーブルまたはディセーブルにします。マルチコンフィギュレーション モードの装置の場合は、各セキュリティ コンテキスト内で次のコマンドを入力する必要があります。

 

次のいずれかを実行します。

no monitor-interface if_name

 

hostname(config)# no monitor-interface lanlink

インターフェイスのヘルス モニタリングをディセーブルにします。

monitor-interface if_name

 

hostname(config)# monitor-interface lanlink

インターフェイスのヘルス モニタリングをイネーブルにします。

フェールオーバー基準の設定

インターフェイス数またはモニタされているインターフェイスの割合を指定して、この数または割合を超えたインターフェイスに障害が発生した場合にフェールオーバーが発生するようにできます。デフォルトでは、1 つのインターフェイス障害でフェールオーバーが行われます。

デフォルトのフェールオーバー基準を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

 

コマンド
目的

failover interface-policy num [%]

 

hostname (config)# failover interface-policy 20%

デフォルトのフェールオーバー基準を変更します。

インターフェイスの具体的な数を指定するときは、 num 引数に 1 ~ 250 を設定できます。

インターフェイスの割合を指定するときは、 num 引数に 1 ~ 100 を設定できます。

装置およびインターフェイスのヘルス ポーリング時間の設定

適応型セキュリティ アプライアンスは、各データ インターフェイスから hello パケットを送信して、インターフェイス ヘルスをモニタします。アプライアンスは、フェールオーバー リンクを通して hello メッセージを送信し、装置ヘルスをモニタします。保持時間の半分以上が経過しても適応型セキュリティ アプライアンスがピア装置の対応するインターフェイスから hello パケットを受信しない場合、追加のインターフェイスのテストが開始されます。hello パケットまたはテストの正常終了の結果が指定した保持時間内に受信されない場合、インターフェイスは失敗としてマークされます。失敗したインターフェイスの数がフェールオーバー基準を満たしている場合、フェールオーバーが発生します。

ポーリング時間および保持時間を短縮すると、適応型セキュリティ アプライアンスはインターフェイスの障害に対してより迅速な検出と応答を実行できますが、多くのシステム リソースを消費することがあります。ポーリング時間と保持時間を延長すると、適応型セキュリティ アプライアンスがネットワーク上でフェールオーバーし、長時間の遅延が発生するのを防止できます。

 

コマンド
目的

failover polltime interface [ msec ] time [ holdtime time ]

 

hostname (config): failover polltime interface msec 500 holdtime 5

インターフェイスのポーリング時間と保持時間を変更します。

ポーリング時間の有効な値は 1 ~ 15 秒で、オプションの msec キーワードを使用すると、500 ~ 999 ミリ秒です。hello パケットを受信できなかったときからインターフェイスが失敗としてマークされるまでの時間が、保持時間によって決まります。保持時間に有効な値は、5 ~ 75 秒です。ポーリング時間の 5 倍に満たない保持時間は入力できません。

インターフェイス リンクがダウンしていると、インターフェイスのテストは実行されず、設定されたフェールオーバー基準に障害のあるインターフェイスの数が合致するか、または基準を超過している場合、スタンバイ装置は、1 つのインターフェイス ポーリング期間内でアクティブになります。

failover polltime [ unit ] [ msec ] poll_time [ holdtime [ msec ] time ]

 

hostname(config)# failover polltime unit msec 200 holdtime msec 800

装置のポーリング時間と保持時間を変更します。

装置のポーリング時間の 3 倍に満たない保持時間は入力できません。ポーリング時間が短いほど、適応型セキュリティ アプライアンスは短時間で故障を検出し、フェールオーバーをトリガーできます。ただし短時間での検出は、ネットワークが一時的に輻輳した場合に不要な切り替えが行われる原因となります。

1 回のポーリング期間中に、装置がフェールオーバー通信インターフェイスで hello パケットを検出しなかった場合、残りのインターフェイスで追加テストが実行されます。それでも保持時間内にピア装置から応答がない場合、その装置は故障していると見なされ、故障した装置がアクティブ装置の場合は、スタンバイ装置がアクティブ装置を引き継ぎます。

コンフィギュレーションには、 failover polltime [unit] コマンドと failover polltime interface コマンドの両方を含めることができます。

仮想 MAC アドレスの設定

Active/Standby フェールオーバーでは、プライマリ装置の MAC アドレスは常にアクティブ IP アドレスに関連付けられています。セカンダリ装置は、最初にブートされてアクティブになると、そのインターフェイスの焼き付け済み MAC アドレスを使用します。プライマリ装置がオンラインになると、セカンダリ装置はプライマリ装置から MAC アドレスを取得します。この変更によって、ネットワーク トラフィックが中断することがあります。

各インターフェイスに仮想 MAC アドレスを設定して、セカンダリ装置がプライマリ装置よりも前にオンラインになっても、セカンダリ装置がアクティブ装置である場合、正しい MAC アドレスを使用するようにします。仮想 MAC アドレスを使用しない場合、フェールオーバー ペアは焼き付け済み NIC アドレスを MAC アドレスとして使用します。


) フェールオーバーまたはステートフル フェールオーバー リンクには、仮想 MAC アドレスは設定できません。これらのリンクの MAC アドレスおよび IP アドレスは、フェールオーバー中に変更されません。


アクティブ装置で次のコマンドを入力して、インターフェイスの仮想 MAC アドレスを設定します。

 

コマンド
目的

failover mac address phy_if active_mac standby_mac

 

hostname (config): failover mac address Ethernet0/2 00a0.c969.87c8 00a0.c918.95d8

インターフェイスの仮想 MAC アドレスを設定します。

phy_if 引数は、インターフェイスの物理名(Ethernet1 など)です。 active_mac および standby_mac 引数は、H.H.H 形式(H は 16 ビットの 16 進数)の MAC アドレスです。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は、000C.F142.4CDE と入力します。

active_mac アドレスはインターフェイスのアクティブ IP アドレスに関連付けられ、 standby_mac はインターフェイスのスタンバイ IP アドレスに関連付けられます。

適応型セキュリティ アプライアンスに仮想 MAC アドレスを設定するには複数の方法があります。仮想 MAC アドレスを設定するために複数の方式を使用した場合、適応型セキュリティ アプライアンスは次の優先順位で、インターフェイスに割り当てる仮想 MAC アドレスを決定します。

1. mac-address コマンド(インターフェイス コンフィギュレーション モード)のアドレス

2. failover mac address コマンドのアドレス

3. mac-address auto コマンドが生成したアドレス

4. 焼き付け済み MAC アドレス

show interface コマンドを使用して、インターフェイスが使用している MAC アドレスを表示します。

フェールオーバーの制御

ここでは、フェールオーバーの制御およびモニタ方法について説明します。この項は、次の内容で構成されています。

「フェールオーバーの強制実行」

「フェールオーバーのディセーブル化」

「障害が発生した装置の復元」

フェールオーバーの強制実行

スタンバイ装置を強制的にアクティブにするには、次のいずれかのコマンドを入力します。

 

コマンド
目的

failover active

 

hostname# failover active

フェールオーバー ペアのスタンバイ装置で入力された場合に、フェールオーバーを強制実行します。スタンバイ装置はアクティブ装置になります。

no failover active

 

hostname# no failover active

フェールオーバー ペアのアクティブ装置で入力された場合に、フェールオーバーを強制実行します。アクティブ装置はスタンバイ装置になります。

フェールオーバーのディセーブル化

フェールオーバーをディセーブル化するには、次のコマンドを入力します。

 

コマンド
目的

no failover

 

hostname(config)# no failover

フェールオーバーをディセーブルにします。Active/Standby ペアでフェールオーバーをディセーブルにすると、再起動されるまで各装置のアクティブおよびスタンバイ状態が維持されます。たとえば、スタンバイ装置はスタンバイ モードのまま維持されるので、両方の装置はトラフィックの転送を開始しません。(フェールオーバーがディセーブル化されていても)スタンバイ装置をアクティブにするには、「フェールオーバーの強制実行」を参照してください。

障害が発生した装置の復元

障害が発生した装置を障害のない状態に復元するには、次のコマンドを入力します。

 

コマンド
目的

failover reset

 

hostname(config)# failover reset

障害が発生した装置を、障害のない状態に復元します。障害が発生した装置を障害のない状態に復元しても、その装置が自動的にアクティブになるわけではありません。復元された装置は、フェールオーバー(強制または性質)によってアクティブになるまではスタンバイ状態のままです。

フェールオーバー機能のテスト

フェールオーバー機能をテストするには、次の手順を実行します。


ステップ 1 FTP などを使用して、異なるインターフェイス上のホスト間でファイルを送信し、アクティブ装置が予期したとおりにトラフィックを渡しているかどうかをテストします。

ステップ 2 アクティブ装置で次のコマンドを入力し、フェールオーバーを強制実行します。

hostname(config)# no failover active
 

 

ステップ 3 FTP を使用して、2 つの同じホスト間で別のファイルを送信します。

ステップ 4 テストが成功しなかった場合は、 show failover コマンドを入力してフェールオーバー ステータスを確認します。

ステップ 5 テストが終了したら、新しくアクティブになった装置で次のコマンドを入力すると、装置をアクティブ ステータスに復元できます。

hostname(config)# no failover active
 


 

Active/Standby フェールオーバーのモニタリング

Active/Standby フェールオーバーをモニタするには、次のいずれかのコマンドを入力します。

 

コマンド
目的
show failover

装置のフェールオーバー状態についての情報を表示します。

show monitor-interface

モニタ対象インターフェイスの情報を表示します。

show running-config failover

実行コンフィギュレーション内のフェールオーバー コマンドを表示します。

モニタリング コマンドの出力の詳細については、『 Cisco ASA 5500 Series Command Reference 』を参照してください。

Active/Standby フェールオーバーの機能履歴

表 59-3 に、この機能のリリース履歴の一覧を示します

 

表 59-3 オプションの Active/Standby フェールオーバー設定の機能履歴

機能名
リリース
機能情報

この機能が導入されました。

7.0

この機能が導入されました。

フェールオーバーに IPv6 のサポートが追加されました。

8.2(2)

failover interface ip show failover ipv6 address show monitor-interface の各コマンドが変更されました。